Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 12 Ιανουαρίου 2017 (OR. en)

Transcript

1 Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 12 Ιανουαρίου 2017 (OR. en) Διοργανικός φάκελος: 2017/0002 (COD) 5034/17 DATAPROTECT 2 JAI 2 DAPIX 2 FREMP 1 DIGIT 2 CODEC 4 ΠΡΟΤΑΣΗ Αποστολέας: Ημερομηνία Παραλαβής: Αποδέκτης: Αριθ. εγγρ. Επιτρ.: Θέμα: Για τον Γενικό Γραμματέα της Ευρωπαϊκής Επιτροπής, ο κ. Jordi AYET PUIGARNAU, Διευθυντής 12 Ιανουαρίου 2017 κ. Jeppe TRANHOLM-MIKKELSEN, Γενικός Γραμματέας του Συμβουλίου της Ευρωπαϊκής Ένωσης COM(2017) 8 final Πρόταση για ΚΑΝΟΝΙΣΜΟ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ Διαβιβάζεται συνημμένως στις αντιπροσωπίες το έγγραφο COM(2017) 8 final. συνημμ.: COM(2017) 8 final 5034/17 DGD 2C EL

2 ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ Βρυξέλλες, COM(2017) 8 final 2017/0002 (COD) Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ EL EL

3 ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ 1. ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ Αιτιολόγηση και στόχοι της πρότασης Το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), όπως θεσπίσθηκε από τη Συνθήκη της Λισαβόνας, καθιερώνει την αρχή ότι κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον, με το άρθρο 16 παράγραφος 2 ΣΛΕΕ, η Συνθήκη της Λισαβόνας δημιούργησε ειδική νομική βάση για τη θέσπιση κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης κατοχυρώνει την προστασία των δεδομένων προσωπικού χαρακτήρα ως θεμελιώδες δικαίωμα. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται επίσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ. Ο κανονισμός (ΕΚ) αριθ. 45/2001 1, η βασική υφιστάμενη ενωσιακή νομοθετική πράξη για την προστασία των δεδομένων προσωπικού χαρακτήρα στα όργανα και τους οργανισμούς της Ένωσης, θεσπίστηκε το 2001 με δύο στόχους: την προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και τη διασφάλιση της ελεύθερης ροής των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Συμπληρώθηκε δε με την απόφαση αριθ. 1247/2002/ΕΚ 2. Στις 27 Απριλίου 2016, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενέκριναν τον Γενικό Κανονισμό για την Προστασία Δεδομένων [κανονισμός (ΕΕ) 2016/679], ο οποίος θα τεθεί σε εφαρμογή στις 25 Μαΐου Ο εν λόγω κανονισμός καλεί σε προσαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 στις αρχές και τους κανόνες του κανονισμού (ΕΕ) 2016/679 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση και να καταστεί δυνατή η ταυτόχρονη εφαρμογή αμφότερων των νομικών πράξεων 3. Η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης με τους θεσπισμένους κανόνες προστασίας των δεδομένων που εφαρμόζουν τα κράτη μέλη προάγει τη συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Οσάκις οι διατάξεις της πρότασης στηρίζονται στην ίδια αντίληψη με τις διατάξεις του κανονισμού (ΕΕ) 2016/679, οι διατάξεις των δύο αυτών πράξεων θα πρέπει να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία της πρότασης θα πρέπει να νοείται ως αντίστοιχη με αυτή του κανονισμού (ΕΕ) 2016/ Κανονισμός (EΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 8 της Απόφαση αριθ. 1247/2002/ΕΚ, της 1ης Ιουλίου 2002, περί του καθεστώτος και των γενικών όρων άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ΕΕ L 183 της , σ Βλ. κανονισμό (ΕΕ) 2016/679, άρθρο 98 και αιτιολογική σκέψη 17. Βλ. απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης της 9ης Μαρτίου 2010, Επιτροπή κατά Γερμανίας, υπόθεση C-518/07, ECLI:EU:C:2010:125, σκέψεις 26 και 28. EL 2 EL

4 Στο πλαίσιο της αναθεώρησης του κανονισμού (ΕΚ) αριθ. 45/2001 λαμβάνονται επιπλέον υπόψη τα αποτελέσματα ερευνών και διαβουλεύσεων με τους ενδιαφερόμενους φορείς, καθώς και η μελέτη αξιολόγησης για την εφαρμογή του κατά την τελευταία 15ετία. Η παρούσα πρωτοβουλία δεν εντάσσεται στο πλαίσιο του προγράμματος βελτίωσης της καταλληλότητας του κανονιστικού πλαισίου (REFIT). Συνοχή με ισχύουσες διατάξεις στον τομέα πολιτικής Σκοπός της πρότασης είναι η ευθυγράμμιση των διατάξεων του κανονισμού (ΕΚ) αριθ. 45/2001 με τις αρχές και τους κανόνες του κανονισμού (ΕΕ) 2016/679 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση. Η πρόταση ενσωματώνει επίσης τους συναφείς κανόνες του κανονισμού (ΕΕ) XXXX/XX [κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες] σχετικά με την προστασία του εξοπλισμού τερματικών των τελικών χρηστών. Συνοχή με άλλες πολιτικές της Ένωσης Άνευ αντικειμένου 2. ΝΟΜΙΚΗ ΒΑΣΗ, ΕΠΙΚΟΥΡΙΚΟΤΗΤΑ ΚΑΙ ΑΝΑΛΟΓΙΚΟΤΗΤΑ Νομική βάση Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν είναι θεμελιώδες δικαίωμα που κατοχυρώνεται στο άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Η παρούσα πρόταση βασίζεται στο άρθρο 16 ΣΛΕΕ, το οποίο αποτελεί τη νομική βάση για τη θέσπιση κανόνων σχετικά με την προστασία των δεδομένων. Το άρθρο αυτό επιτρέπει τη θέσπιση κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Επιτρέπει επίσης τη θέσπιση κανόνων σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τα ως άνω θεσμικά και λοιπά όργανα και οργανισμούς. Επικουρικότητα (σε περίπτωση μη αποκλειστικής αρμοδιότητας) Το αντικείμενο του παρόντος κανονισμού εμπίπτει στο πεδίο της αποκλειστικής αρμοδιότητας της Ένωσης, καθώς μόνο η Ένωση μπορεί να θεσπίσει κανόνες που να διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα της Ένωσης. Αναλογικότητα Σύμφωνα με την αρχή της αναλογικότητας, για την επίτευξη των βασικών στόχων της διασφάλισης ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, είναι αναγκαίο και πρόσφορο να θεσπιστούν κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα EL 3 EL

5 θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. Ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη των επιδιωκομένων στόχων, σύμφωνα με τις διατάξεις του άρθρου 5 παράγραφος 4 της Συνθήκης για την Ευρωπαϊκή Ένωση. Επιλογή του νομικού μέσου Ο κανονισμός θεωρείται η κατάλληλη νομική πράξη για τον καθορισμό του πλαισίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Παρέχει στα φυσικά πρόσωπα νομικά εκτελεστά δικαιώματα και καθορίζει τις υποχρεώσεις των υπεύθυνων της επεξεργασίας δεδομένων των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης. Προβλέπει ακόμη ανεξάρτητη εποπτική αρχή, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, με αρμοδιότητα την παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. 3. ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΚ ΤΩΝ ΥΣΤΕΡΩΝ ΑΞΙΟΛΟΓΗΣΕΩΝ, ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΜΕ ΤΑ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ ΚΑΙ ΤΩΝ ΕΚΤΙΜΗΣΕΩΝ ΕΠΙΠΤΩΣΕΩΝ Κατά την περίοδο , η Επιτροπή προέβη σε διαβουλεύσεις με τα ενδιαφερόμενα μέρη και στην εκπόνηση εκτίμησης των επιπτώσεων, στο πλαίσιο της προετοιμασίας της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων, τα αποτελέσματα των οποίων λαμβάνονται υπόψη στις αλλαγές που προτείνονται στον κανονισμό (ΕΚ) αριθ. 45/2001. Στο πλαίσιο αυτό, η Επιτροπή εκπόνησε επίσης έρευνα μεταξύ των συντονιστών της προστασίας δεδομένων της Επιτροπής 5. Όσον αφορά την πρακτική εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, συλλέχθηκαν πληροφορίες από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ), άλλα όργανα και οργανισμούς της Ένωσης, άλλες Γενικές Διευθύνσεις της Επιτροπής και από εξωτερικό ανάδοχο. Στάλθηκε επίσης ερωτηματολόγιο στο δίκτυο υπευθύνων προστασίας δεδομένων (ΥΠΔ) 6. Οι υπεύθυνοι προστασίας δεδομένων διαφόρων οργάνων και οργανισμών της Ένωσης οργάνωσαν εργαστήρια με θέμα τη μεταρρύθμιση του κανονισμού 45/2001 στις 9 Ιουλίου 2015, στις 22 Οκτωβρίου 2015, στις 19 Ιανουαρίου 2016 και στις 15 Μαρτίου Το 2013 η Επιτροπή αποφάσισε να προβεί στην εκπόνηση μελέτης αξιολόγησης για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001, την οποία ανέθεσε σε εξωτερικό ανάδοχο. Τα τελικά παραδοτέα της μελέτης αξιολόγησης (τελική έκθεση, πέντε περιπτωσιολογικές μελέτες και ανάλυση ανά άρθρο) υποβλήθηκαν στην Επιτροπή στις 8 Ιουνίου Βλ. τον δικτυακό τόπο Βλ. γενική έκθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων με θέμα «Εκτίμηση της συμμόρφωσης των οργάνων της ΕΕ με τον κανονισμό (ΕΚ) 45/2001 ( Έρευνα 2013 )» και «Γνωμοδότηση 3/2015 Η μεγάλη ευκαιρία της Ευρώπης: Συστάσεις του ΕΕΠΔ σχετικά με τις επιλογές της ΕΕ για τη μεταρρύθμιση της προστασίας δεδομένων». JUST/2013/FRAC/FW/0157/A4 στο πλαίσιο της πολλαπλής σύμβασης-πλαισίου JUST/2011/EVAL/01 (RS 2013/05) Μελέτη αξιολόγησης σχετικά με τον κανονισμό (ΕΚ) 45/2001, από την εταιρεία Ernst EL 4 EL

6 Από την αξιολόγηση προέκυψε ότι το σύστημα διακυβέρνησης που έχει διαρθρωθεί γύρω από τους υπεύθυνους προστασίας δεδομένων και τον ΕΕΠΔ είναι αποτελεσματικό. Διαπιστώθηκε ακόμη ότι η κατανομή των αρμοδιοτήτων μεταξύ των υπευθύνων προστασίας δεδομένων και του ΕΕΠΔ είναι σαφής και καλά ισορροπημένη, και ότι αμφότεροι διαθέτουν κατάλληλο εύρος αρμοδιοτήτων. Δυσκολίες είναι πιθανό να προκύψουν, ωστόσο, από την έλλειψη εξουσίας λόγω της ανεπαρκούς στήριξης που λαμβάνουν οι υπεύθυνοι προστασίας δεδομένων από τους προϊσταμένους τους. Από τη μελέτη αξιολόγησης προέκυψε ότι η εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 θα μπορούσε να βελτιωθεί μέσω της επιβολής κυρώσεων από τον ΕΕΠΔ. Η αυξημένη χρήση των εποπτικών εξουσιών του θα μπορούσε να συμβάλει στην καλύτερη εφαρμογή των κανόνων προστασίας δεδομένων. Περαιτέρω συμπέρασμα ήταν ότι οι υπεύθυνοι της επεξεργασίας δεδομένων θα πρέπει να υιοθετήσουν μια προσέγγιση διαχείρισης των κινδύνων και να εκπονούν εκτιμήσεις των κινδύνων πριν από την εκτέλεση πράξεων επεξεργασίας, με γνώμονα την καλύτερη εφαρμογή των απαιτήσεων διατήρησης και ασφάλειας των δεδομένων. Η μελέτη κατέδειξε ακόμη ότι οι ισχύουσες διατάξεις του κεφαλαίου IV του κανονισμού (ΕΚ) αριθ. 45/2001 για τον τομέα των τηλεπικοινωνιών είναι παρωχημένες και ότι υπάρχει ανάγκη να ευθυγραμμιστεί το κεφάλαιο αυτό με την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Σύμφωνα με τη μελέτη αξιολόγησης, υπάρχει επιπλέον ανάγκη να αποσαφηνιστούν ορισμένοι βασικοί ορισμοί του κανονισμού (ΕΚ) αριθ. 45/2001, όπως, μεταξύ άλλων, ο προσδιορισμός των υπευθύνων της επεξεργασίας δεδομένων στα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, ο ορισμός των αποδεκτών και η επέκταση της υποχρέωσης τήρησης του απορρήτου στους εξωτερικούς εκτελούντες την επεξεργασία. Η μελέτη αξιολόγησης κατέδειξε ακόμη την ανάγκη απλούστευσης του καθεστώτος των κοινοποιήσεων και των προκαταρκτικών ελέγχων ώστε να αυξηθεί η αποδοτικότητα και να μειωθεί ο διοικητικός φόρτος. Ο αξιολογητής πραγματοποίησε διαδικτυακή έρευνα σε 64 όργανα και οργανισμούς της Ένωσης. Στις ερωτήσεις της έρευνας απάντησαν 422 αρμόδιοι υπάλληλοι υπευθύνων της επεξεργασίας δεδομένων, 73 υπεύθυνοι προστασίας δεδομένων, 118 συντονιστές της προστασίας δεδομένων και 109 υπεύθυνοι πληροφορικής. Ο αξιολογητής πραγματοποίησε ακόμη μια σειρά συνεντεύξεων με ενδιαφερόμενους. Στις 26 Μαρτίου 2015, ο αξιολογητής και η Επιτροπή οργάνωσαν ένα τελευταίο εργαστήριο, στο οποίο συμμετείχαν αρκετοί υπεύθυνοι της επεξεργασίας δεδομένων, υπεύθυνοι προστασίας δεδομένων, συντονιστές της προστασίας δεδομένων, υπεύθυνοι πληροφορικής και εκπρόσωποι του ΕΕΠΔ. Συλλογή και χρήση εμπειρογνωσίας Βλ. αναφορά στη μελέτη αξιολόγησης στην προηγούμενη ενότητα. Εκτίμηση επιπτώσεων Οι επιπτώσεις της παρούσας πρότασης αφορούν κατά κύριο λόγο τα όργανα και τους οργανισμούς της Ένωσης. Αυτό επιβεβαιώνεται από τις πληροφορίες που συλλέχθηκαν από and Young, διαθέσιμη στον δικτυακό τόπο EL 5 EL

7 τον ΕΕΠΔ, άλλα όργανα και οργανισμούς της Ένωσης, Γενικές Διευθύνσεις της Επιτροπής και από τον εξωτερικό ανάδοχο. Επιπλέον, οι επιπτώσεις των νέων υποχρεώσεων που απορρέουν από τον κανονισμό (ΕΕ) 2016/679, με τον οποίο πρόκειται να ευθυγραμμιστεί ο παρών κανονισμός, αξιολογήθηκαν στο πλαίσιο των προπαρασκευαστικών εργασιών για τον τελευταίο, γεγονός που καθιστά περιττή την εκπόνηση ειδικής εκτίμησης επιπτώσεων για τον παρόντα κανονισμό. Καταλληλότητα του κανονιστικού πλαισίου και απλούστευση Άνευ αντικειμένου Θεμελιώδη δικαιώματα Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται με το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης»), το άρθρο 16 της ΣΛΕΕ και το άρθρο 8 της Ευρωπαϊκής Σύμβασης Ανθρωπίνων Δικαιωμάτων. Όπως υπογράμμισε το Δικαστήριο της Ευρωπαϊκής Ένωσης 8, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, αλλά πρέπει να λαμβάνεται υπόψη σε σχέση με τον ρόλο που επιτελεί στην κοινωνία 9. Η προστασία των δεδομένων συνδέεται επίσης στενά με τον σεβασμό της ιδιωτικής και της οικογενειακής ζωής που προστατεύεται από το άρθρο 7 του Χάρτη. Η παρούσα πρόταση θεσπίζει κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών. Άλλα δυνητικά επηρεαζόμενα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στον Χάρτη είναι τα ακόλουθα: η ελευθερία έκφρασης (άρθρο 11) το δικαίωμα ιδιοκτησίας και ιδίως η προστασία της διανοητικής ιδιοκτησίας (άρθρο 17 παράγραφος 2) η απαγόρευση κάθε διάκρισης λόγω φυλής, εθνοτικής καταγωγής, γενετικών χαρακτηριστικών, θρησκείας ή πεποιθήσεων, πολιτικών φρονημάτων ή κάθε άλλης γνώμης, αναπηρίας ή γενετήσιου προσανατολισμού (άρθρο 21) τα δικαιώματα του παιδιού (άρθρο 24) το δικαίωμα υψηλού επιπέδου προστασίας της υγείας του ανθρώπου (άρθρο 35) το δικαίωμα πρόσβασης στα έγγραφα (άρθρο 42) και το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου (άρθρο 47). 4. ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ Βλ. δημοσιονομικό δελτίο στο παράρτημα. 8 9 Δικαστήριο της Ευρωπαϊκής Ένωσης, απόφαση της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert, συνεκδικασθείσες υποθέσεις C-92/09 και C-93/09, ECLI:EU:C:2009:284, σκέψη 48. Σύμφωνα με το άρθρο 52 παράγραφος 1 του Χάρτη, επιτρέπεται η επιβολή περιορισμών στην άσκηση του δικαιώματος προστασίας των δεδομένων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί προβλέπονται από τον νόμο, σέβονται το βασικό περιεχόμενο των σχετικών δικαιωμάτων και ελευθεριών και ότι, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε στόχους γενικού ενδιαφέροντος που αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων. EL 6 EL

8 5. ΛΟΙΠΑ ΣΤΟΙΧΕΙΑ Σχέδια εφαρμογής και ρυθμίσεις παρακολούθησης, αξιολόγησης και υποβολής εκθέσεων Άνευ αντικειμένου Επεξηγηματικά έγγραφα (για οδηγίες) Άνευ αντικειμένου ΚΕΦΑΛΑΙΟ I ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Το άρθρο 1 ορίζει το αντικείμενο του κανονισμού και, όπως στο άρθρο 1 του κανονισμού (ΕΚ) αριθ. 45/2001, καθορίζει τους δύο στόχους του κανονισμού: προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Προβλέπει επίσης τα βασικά καθήκοντα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Το άρθρο 2 καθορίζει το πεδίο εφαρμογής του κανονισμού: εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, με αυτοματοποιημένα ή άλλα μέσα, από όλα τα όργανα και τους οργανισμούς της Ένωσης, εφόσον η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της άσκησης δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του ενωσιακού δικαίου. Το ουσιαστικό πεδίο εφαρμογής του παρόντος κανονισμού είναι τεχνολογικά ουδέτερο. Η προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Το άρθρο 3 περιέχει ορισμούς όρων που χρησιμοποιούνται στον κανονισμό. Εκτός από τους ορισμούς των «οργάνων και οργανισμών της Ένωσης», του «υπεύθυνου της επεξεργασίας», του «χρήστη» και του «καταλόγου», που αφορούν ειδικά τον παρόντα κανονισμό, οι όροι που χρησιμοποιούνται στον παρόντα κανονισμό έχουν την έννοια που τους αποδίδεται στον κανονισμό (ΕΕ) 2016/679, στον κανονισμό (ΕΕ) 0000/00 [νέος κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], στην οδηγία 00/0000/ΕΕ [οδηγία για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών] και στην οδηγία 2008/63/ΕΚ της Επιτροπής. ΚΕΦΑΛΑΙΟ II - ΑΡΧΕΣ Το άρθρο 4 ορίζει τις αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, οι οποίες αντιστοιχούν σε εκείνες του άρθρου 5 του κανονισμού (ΕΕ) 2016/679. Σε σύγκριση με τον κανονισμό (ΕΚ) αριθ. 45/2001, προστίθενται, ως νέα στοιχεία, οι αρχές της διαφάνειας, της ακεραιότητας και της εμπιστευτικότητας. Το άρθρο 5 βασίζεται στο άρθρο 6 του κανονισμού (ΕΕ) 2016/679 και θεσπίζει τα κριτήρια για τη νομιμότητα της επεξεργασίας, με μόνη εξαίρεση το κριτήριο του έννομου συμφέροντος του υπεύθυνου της επεξεργασίας, το οποίο δεν εφαρμόζεται στον δημόσιο τομέα και δεν θα πρέπει, ως εκ τούτου, να εφαρμόζεται στα όργανα και τους οργανισμούς της Ένωσης. Το άρθρο 5 διατηρεί τα κριτήρια που έχουν ήδη θεσπιστεί με το άρθρο 5 του κανονισμού (ΕΚ) αριθ. 45/2001. EL 7 EL

9 Το άρθρο 6 αποσαφηνίζει τις προϋποθέσεις επεξεργασίας για άλλον συμβατό σκοπό σύμφωνα με το άρθρο 6 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679. Σε σύγκριση με το άρθρο 6 του κανονισμού (ΕΚ) αριθ. 45/2001, η νέα αυτή διάταξη παρέχει μεγαλύτερη ευελιξία και ασφάλεια δικαίου όσον αφορά την περαιτέρω επεξεργασία για συμβατούς σκοπούς. Το άρθρο 7 αποσαφηνίζει, σύμφωνα με το άρθρο 7 του κανονισμού (ΕΕ) 2016/679, τις προϋποθέσεις που πρέπει να συντρέχουν ώστε η συγκατάθεση να είναι έγκυρη ως νόμιμος λόγος για σύννομη επεξεργασία. Το άρθρο 8 θέτει, σύμφωνα με το άρθρο 8 του κανονισμού (ΕΕ) 2016/679, περαιτέρω προϋποθέσεις για τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα παιδιών σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας που προσφέρονται απευθείας σε αυτά και ορίζει ως ελάχιστη ηλικία για την έγκυρη παροχή συγκατάθεσης τα 13 έτη. Το άρθρο 9 θεσπίζει, σύμφωνα με το άρθρο 8 του κανονισμού (ΕΚ) αριθ. 45/2001, κανόνες που προβλέπουν ειδικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτες άλλους, εκτός των οργάνων και οργανισμών της Ένωσης, που είναι εγκατεστημένοι στην Ένωση και υπόκεινται στον κανονισμό (ΕΕ) 2016/679 ή στην οδηγία (ΕΕ) 2016/680. Διευκρινίζει ότι, όταν η διαβίβαση πραγματοποιείται με πρωτοβουλία του υπεύθυνου της επεξεργασίας, θα πρέπει να αποδεικνύεται η αναγκαιότητα και η αναλογικότητά της. Το άρθρο 10 καθορίζει τη γενική απαγόρευση της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και τις εξαιρέσεις από τον γενικό αυτό κανόνα, βάσει του άρθρου 9 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 10 του κανονισμού (ΕΚ) αριθ. 45/2001. Το άρθρο 11 καθορίζει, σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 10 παράγραφος 5 του κανονισμού (ΕΚ) αριθ. 45/2001, τις προϋποθέσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα. Το άρθρο 12 αποσαφηνίζει τις υποχρεώσεις παροχής πληροφοριών του υπεύθυνου της επεξεργασίας προς το υποκείμενο των δεδομένων, σύμφωνα με το άρθρο 11 του κανονισμού (ΕΕ) 2016/679, ορίζοντας ότι αν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται υπεύθυνος επεξεργασίας δεν του επιτρέπουν να ταυτοποιήσει φυσικό πρόσωπο, ο υπεύθυνος της επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτήσει συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο προς τον σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος της επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του. Το άρθρο 13 θεσπίζει, βάσει του άρθρου 89 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, τους κανόνες που διέπουν τις εγγυήσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς. ΚΕΦΑΛΑΙΟ III ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ Τμήμα 1 Διαφάνεια και ρυθμίσεις για την άσκηση των δικαιωμάτων EL 8 EL

10 Το άρθρο 14 θεσπίζει, βάσει του άρθρου 12 του κανονισμού (ΕΕ) 2016/679, την υποχρέωση των υπεύθυνων επεξεργασίας να παρέχουν διαφανείς, εύκολα προσβάσιμες και κατανοητές πληροφορίες και διαδικασίες, καθώς και μηχανισμό, για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, συμπεριλαμβανομένων, όπου ενδείκνυται, μέσων υποβολής ηλεκτρονικών αιτημάτων, με υποχρέωση απάντησης στο αίτημα του υποκειμένου των δεδομένων εντός καθορισμένης προθεσμίας και με αιτιολόγηση των αρνήσεων. Καθώς τα όργανα και οι οργανισμοί της Ένωσης δεν αναμένεται να προβαίνουν, σε καμία περίπτωση, στην επιβολή τελών για την κάλυψη του διοικητικού κόστους της παροχής των πληροφοριών, η σχετική δυνατότητα που προβλέπεται στον κανονισμό (ΕΕ) 2016/679 δεν επαναλήφθηκε στον παρόντα κανονισμό. Τμήμα 2 Ενημέρωση και πρόσβαση στα δεδομένα Το άρθρο 15 καθορίζει τις υποχρεώσεις παροχής πληροφοριών του υπεύθυνου της επεξεργασίας προς το υποκείμενο των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων, βάσει του άρθρου 13 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 11 του κανονισμού (ΕΚ) αριθ. 45/2001, αναφέροντας τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων, συμπεριλαμβανομένων πληροφοριών σχετικά με την περίοδο αποθήκευσης, το δικαίωμα υποβολής καταγγελίας και τις διεθνείς διαβιβάσεις. Το άρθρο 16 προσδιορίζει περαιτέρω, βάσει του άρθρου 14 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 12 του κανονισμού (ΕΚ) αριθ. 45/2001, τις υποχρεώσεις παροχής πληροφοριών του υπεύθυνου της επεξεργασίας προς το υποκείμενο των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, επιβάλλει δε την παροχή πληροφοριών σχετικά με την πηγή από την οποία προέρχονται τα δεδομένα. Εξάλλου, διατηρεί τις πιθανές παρεκκλίσεις που προβλέπει ο κανονισμός (ΕΕ) 2016/679, π.χ. η υποχρέωση παροχής πληροφοριών δεν ισχύει εάν το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες, εάν η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια για τον υπεύθυνο της επεξεργασίας, εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή εάν η καταχώριση ή η κοινολόγηση προβλέπεται ρητώς από τον νόμο. Αυτό θα μπορούσε να ισχύει, για παράδειγμα, στο πλαίσιο διαδικασιών που κινούνται από υπηρεσίες αρμόδιες για θέματα κοινωνικής ασφάλισης ή υγείας. Το άρθρο 17 περιλαμβάνει ρυθμίσεις, σύμφωνα με το άρθρο 15 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 13 του κανονισμού (ΕΚ) αριθ. 45/2001, σχετικά με το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, προσθέτει δε νέα στοιχεία, όπως την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων για την περίοδο αποθήκευσης, και για τα δικαιώματα διόρθωσης και διαγραφής, καθώς και υποβολής καταγγελίας. Τμήμα 3 Διόρθωση και διαγραφή Το άρθρο 18 καθορίζει το δικαίωμα διόρθωσης του υποκειμένου των δεδομένων, βάσει του άρθρου 16 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 14 του κανονισμού (ΕΚ) αριθ. 45/2001. Το άρθρο 19 θεσπίζει, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 16 του κανονισμού (ΕΚ) αριθ. 45/2001, το δικαίωμα του EL 9 EL

11 υποκειμένου των δεδομένων στη λήθη και το δικαίωμα διαγραφής. Προβλέπει τις προϋποθέσεις του δικαιώματος του υποκειμένου των δεδομένων «στη λήθη», συμπεριλαμβανομένης της υποχρέωσης του υπεύθυνου επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να ενημερώνει τους τρίτους για το αίτημα του υποκειμένου των δεδομένων για διαγραφή τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα. Το άρθρο 20 εισάγει το δικαίωμα περιορισμού της επεξεργασίας σε ορισμένες περιπτώσεις, αποφεύγοντας τον αμφίσημο όρο «κλείδωμα» που χρησιμοποιείται στον κανονισμό (ΕΚ) αριθ. 45/2001 και διασφαλίζοντας τη συνοχή με τη νέα ορολογία που χρησιμοποιείται στο άρθρο 18 του κανονισμού (ΕΕ) 2016/679. Το άρθρο 21 προβλέπει, σύμφωνα με το άρθρο 19 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 17 του κανονισμού (ΕΚ) αριθ. 45/2001, υποχρέωση του υπεύθυνου της επεξεργασίας να γνωστοποιεί στους αποδέκτες στους οποίους κοινοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα κάθε τυχόν διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος της επεξεργασίας ενημερώνει επίσης το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον το ζητήσει το υποκείμενο των δεδομένων. Το άρθρο 22 εισάγει, σύμφωνα με το άρθρο 20 του κανονισμού (ΕΕ) 2016/679, το δικαίωμα του υποκειμένου των δεδομένων στη φορητότητα των δεδομένων, ήτοι το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας ή να ζητά την απευθείας διαβίβαση των εν λόγω δεδομένων προσωπικού χαρακτήρα σε άλλον υπεύθυνο επεξεργασίας, σε περίπτωση που αυτό είναι τεχνικά εφικτό. Ως προϋπόθεση και για την περαιτέρω βελτίωση της πρόσβασης των φυσικών προσώπων στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, προβλέπει το δικαίωμα λήψης των εν λόγω δεδομένων από τον υπεύθυνο της επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο. Το εν λόγω δικαίωμα ισχύει μόνο όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή σε σύμβαση που έχει συναφθεί από αυτό. Τμήμα 4 Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων Το άρθρο 23 προβλέπει δικαίωμα εναντίωσης του υποκειμένου των δεδομένων, βάσει του άρθρου 21 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 18 του κανονισμού (ΕΚ) αριθ. 45/2001. Το άρθρο 24 αφορά το δικαίωμα του υποκειμένου των δεδομένων να μην υπόκειται σε μέτρο που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, σύμφωνα με το άρθρο 22 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 19 του κανονισμού (ΕΚ) αριθ. 45/2001. Τμήμα 5 Περιορισμοί Το άρθρο 25 επιτρέπει περιορισμούς στα δικαιώματα του υποκειμένου των δεδομένων που προβλέπονται στα άρθρα 14 ως 22 και στα άρθρα 34 και 38, καθώς και στις αρχές που θεσπίζονται στο άρθρο 4 (εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 ως 22). Οι εν λόγω περιορισμοί θα πρέπει να EL 10 EL

12 προβλέπονται σε νομικές πράξεις που έχουν θεσπιστεί βάσει των Συνθηκών ή των εσωτερικών κανονισμών των οργάνων και οργανισμών της Ένωσης. Σε περίπτωση που δεν προβλέπεται δυνατότητα τέτοιου περιορισμού στις νομικές πράξεις που έχουν θεσπιστεί βάσει των Συνθηκών ή των εσωτερικών κανονισμών των οργάνων και οργανισμών της Ένωσης, τα τελευταία μπορούν να επιβάλουν κατά περίπτωση περιορισμό, εφόσον αυτός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών, σε σχέση με συγκεκριμένη πράξη επεξεργασίας, και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός ή περισσοτέρων από τους στόχους που επιτρέπουν την επιβολή περιορισμών στα δικαιώματα του υποκειμένου των δεδομένων. Η προσέγγιση αυτή συνάδει με το άρθρο 23 του κανονισμού (ΕΕ) 2016/679. Εντούτοις, σε αντίθεση με το άρθρο 23 του κανονισμού (ΕΕ) 2016/679 και σύμφωνα με το άρθρο 20 του κανονισμού (ΕΚ) αριθ. 45/2001, η διάταξη δεν προβλέπει τη δυνατότητα περιορισμού του δικαιώματος εναντίωσης και του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας. Οι απαιτήσεις σχετικά με τους περιορισμούς συνάδουν με τον Χάρτη των Θεμελιωδών Δικαιωμάτων και την Ευρωπαϊκή Σύμβαση Ανθρωπίνων Δικαιωμάτων, όπως ερμηνεύονται από το Δικαστήριο της Ευρωπαϊκής Ένωσης και το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου, αντίστοιχα. ΚΕΦΑΛΑΙΟ IV ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ Τμήμα 1 Γενικές υποχρεώσεις Το άρθρο 26 βασίζεται στο άρθρο 24 του κανονισμού (ΕΕ) 2016/679 και εισάγει την «αρχή της λογοδοσίας» περιγράφοντας την υποχρέωση ευθύνης του υπεύθυνου της επεξεργασίας να συμμορφώνεται με τον παρόντα κανονισμό και να επιδεικνύει τη συμμόρφωσή του, μεταξύ άλλων, μέσω της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων και, όπου ενδείκνυται, εσωτερικών πολιτικών και μηχανισμών διασφάλισης της εν λόγω συμμόρφωσης. Το άρθρο 24 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 δεν επαναλήφθηκε στην παρούσα διάταξη, καθώς τα όργανα και οι οργανισμοί της Ένωσης δεν θα πρέπει να τηρούν κώδικες δεοντολογίας ή μηχανισμούς πιστοποίησης. Το άρθρο 27 καθορίζει, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2016/679, τις υποχρεώσεις του υπεύθυνου της επεξεργασίας οι οποίες απορρέουν από τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Το άρθρο 28, που αφορά τους από κοινού υπευθύνους επεξεργασίας, βασίζεται στο άρθρο 26 του κανονισμού (ΕΕ) 2016/679 και αποσαφηνίζει τις αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας είτε πρόκειται για όργανα και οργανισμούς της Ένωσης είτε όχι όσον αφορά τόσο τη μεταξύ τους σχέση όσο και τη σχέση τους με το υποκείμενο των δεδομένων. Η εν λόγω διάταξη αφορά τις περιπτώσεις κατά τις οποίες όλοι οι από κοινού υπεύθυνοι επεξεργασίας καλύπτονται από το ίδιο νομικό καθεστώς (τον παρόντα κανονισμό) και τις περιπτώσεις κατά τις οποίες ορισμένοι εξ αυτών καλύπτονται από τον παρόντα κανονισμό ενώ οι υπόλοιποι καλύπτονται από άλλη νομική πράξη [τον κανονισμό (ΕΕ) 2016/679, την οδηγία (ΕΕ) 2016/680, την οδηγία (ΕΕ) 2016/681 και άλλα ειδικά καθεστώτα προστασίας των δεδομένων που αφορούν τα όργανα και τους οργανισμούς της Ένωσης]. Το άρθρο 29 βασίζεται στο άρθρο 28 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσει περαιτέρω το άρθρο 23 του κανονισμού (ΕΚ) αριθ. 45/2001, αποσαφηνίζοντας τη θέση και τις υποχρεώσεις των εκτελούντων την επεξεργασία και ορίζοντας, μεταξύ άλλων, ότι εκτελών την επεξεργασία που καθορίζει, κατά παράβαση του παρόντος κανονισμού, τους σκοπούς και EL 11 EL

13 τα μέσα της επεξεργασίας θεωρείται υπεύθυνος της επεξεργασίας για τη συγκεκριμένη επεξεργασία. Το άρθρο 30, που αφορά την επεξεργασία υπό την εποπτεία του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία, βασίζεται στο άρθρο 29 του κανονισμού (ΕΕ) 2016/679 και απαγορεύει στον εκτελούντα την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, να επεξεργάζεται τα εν λόγω δεδομένα, παρ εκτός κατ εντολή του υπεύθυνου της επεξεργασίας, πλην εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους. Το άρθρο 31 βασίζεται στο άρθρο 30 του κανονισμού (ΕΕ) 2016/679 και θεσπίζει υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία να διατηρούν τεκμηρίωση των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνοι, αντί της προηγούμενης κοινοποίησης στον ΕΕΠΔ που προβλέπει το άρθρο 25 του κανονισμού (ΕΚ) αριθ. 45/2001 και στο μητρώο υπευθύνων προστασίας δεδομένων. Σε αντίθεση με τον κανονισμό (ΕΕ) 2016/679, η εν λόγω διάταξη δεν κάνει αναφορά σε εκπροσώπους, καθώς τα όργανα της Ένωσης δεν θα έχουν εκπροσώπους αλλά θα έχουν πάντοτε υπεύθυνους προστασίας δεδομένων. Δεν διατηρήθηκαν οι αναφορές σε διαβιβάσεις βάσει παρεκκλίσεων για ειδικές καταστάσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679, καθώς οι εν λόγω τύποι διαβιβάσεων δεν προβλέπονται στον παρόντα κανονισμό. Η υποχρέωση τήρησης αρχείου των δραστηριοτήτων επεξεργασίας είναι δυνατό να τηρείται σε επίπεδο οργάνου ή οργανισμού της Ένωσης. Σε αυτή την περίπτωση, τα όργανα και οι οργανισμοί της Ένωσης έχουν τη δυνατότητα να τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους με τη μορφή δημόσια προσβάσιμου μητρώου. Το άρθρο 32 αποσαφηνίζει, βάσει του άρθρου 31 του κανονισμού (ΕΕ) 2016/679, τις υποχρεώσεις συνεργασίας των οργάνων και των οργανισμών της Ένωσης με τον ΕΕΠΔ. Τμήμα 2 Ασφάλεια των δεδομένων προσωπικού χαρακτήρα και απόρρητο των ηλεκτρονικών επικοινωνιών Το άρθρο 33 υποχρεώνει, σύμφωνα με το άρθρο 32 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 22 του κανονισμού (ΕΚ) αριθ. 45/2001, τον υπεύθυνο της επεξεργασίας να εφαρμόζει κατάλληλα μέτρα για την ασφάλεια της επεξεργασίας, επεκτείνοντας την εν λόγω υποχρέωση στους εκτελούντες την επεξεργασία, ανεξαρτήτως της σύμβασης με τον υπεύθυνο της επεξεργασίας. Το άρθρο 34 βασίζεται στο άρθρο 36 του κανονισμού (ΕΚ) αριθ. 45/2001 και διασφαλίζει το απόρρητο των ηλεκτρονικών επικοινωνιών εντός των οργάνων και οργανισμών της Ένωσης. Το άρθρο 35 βασίζεται στην ισχύουσα πρακτική των οργάνων και οργανισμών της Ένωσης και προστατεύει τις πληροφορίες που σχετίζονται με τον εξοπλισμό τερματικών των τελικών χρηστών οι οποίοι επισκέπτονται δημόσια διαθέσιμους δικτυακούς τόπους και εφαρμογές για φορητές συσκευές που παρέχονται από τα όργανα και τους οργανισμούς της ΕΕ, σύμφωνα με τον κανονισμό (ΕΕ) XXXX/XX [νέος κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], και ιδίως το άρθρο 8. Το άρθρο 36 βασίζεται στο άρθρο 38 του κανονισμού (ΕΚ) αριθ. 45/2001 και προστατεύει τα δεδομένα προσωπικού χαρακτήρα που τηρούνται σε δημόσιους και ιδιωτικούς καταλόγους των οργάνων και οργανισμών της Ένωσης. EL 12 EL

14 Τα άρθρα 37 και 38 εισάγουν υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679. Τμήμα 3 Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και προηγούμενη διαβούλευση Το άρθρο 39 βασίζεται στο άρθρο 35 του κανονισμού (ΕΕ) 2016/679 και εισάγει υποχρέωση των υπευθύνων της επεξεργασίας και των εκτελούντων την επεξεργασία να διενεργούν εκτίμηση του αντικτύπου σχετικά με την προστασία των δεδομένων πριν από την εκτέλεση πράξεων επεξεργασίας οι οποίες ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η υποχρέωση αυτή θα ισχύει ιδίως στην περίπτωση συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων ή συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα. Το άρθρο 40 βασίζεται στο άρθρο 36 του κανονισμού (ΕΕ) 2016/679 και αφορά τις περιπτώσεις στις οποίες απαιτείται άδεια από, και διαβούλευση με, τον ΕΕΠΔ πριν από την επεξεργασία. Η πρώτη παράγραφος του άρθρου 40 αναπαράγει, πάντως, την αιτιολογική σκέψη 94 του κανονισμού (ΕΕ) 2016/679 και αποσκοπεί στην αποσαφήνιση του πεδίου εφαρμογής της υποχρέωσης διαβούλευσης. Τμήμα 4 Ενημέρωση και νομοθετική διαβούλευση Το άρθρο 41 προβλέπει υποχρέωση των οργάνων και των οργανισμών της Ένωσης να ενημερώνουν τον ΕΕΠΔ οσάκις εκπονούν διοικητικά μέτρα και εσωτερικούς κανονισμούς που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το άρθρο 42 θεσπίζει υποχρέωση της Επιτροπής διαβούλευσης με τον ΕΕΠΔ μετά την έγκριση προτάσεων νομοθετικών πράξεων και συστάσεων ή προτάσεων προς το Συμβούλιο βάσει του άρθρου 218 ΣΛΕΕ, καθώς και κατά την κατάρτιση κατ εξουσιοδότηση πράξεων ή εκτελεστικών πράξεων που έχουν αντίκτυπο στην προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι πράξεις αυτές είναι ιδιαίτερα σημαντικές για την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή δύναται επίσης να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, οι δύο οντότητες θα πρέπει να συντονίζουν τις εργασίες τους με γνώμονα την έκδοση κοινής γνωμοδότησης. Ορίζεται προθεσμία 8 εβδομάδων για την έκδοση της συμβουλευτικής γνωμοδότησης στις προαναφερθείσες περιπτώσεις, με πιθανές εξαιρέσεις σε επείγουσες περιπτώσεις ή εφόσον κρίνεται σκόπιμο για άλλους λόγους, για παράδειγμα όταν η Επιτροπή καταρτίζει κατ εξουσιοδότηση και εκτελεστικές πράξεις. Τμήμα 5 Υποχρέωση απάντησης σε καταγγελίες παραβάσεων Το άρθρο 43 θεσπίζει υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία να απαντούν σε καταγγελίες παραβάσεων σε περίπτωση που ο ΕΕΠΔ αποφάσισε να τους παραπέμψει κάποιο θέμα. Τμήμα 6 Υπεύθυνος προστασίας δεδομένων EL 13 EL

15 Το άρθρο 44 βασίζεται στο άρθρο 37 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 24 του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει τον υποχρεωτικό ορισμό υπευθύνου προστασίας δεδομένων στα όργανα και τους οργανισμούς της Ένωσης. Το άρθρο 45 βασίζεται στο άρθρο 38 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 24 του κανονισμού (ΕΚ) αριθ. 45/2001, και καθορίζει τη θέση του υπευθύνου προστασίας δεδομένων. Το άρθρο 46 βασίζεται στο άρθρο 39 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 24 του κανονισμού (ΕΚ) αριθ. 45/2001, καθώς και στις παραγράφους 2 και 3 του παραρτήματος του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει τα βασικά καθήκοντα του υπεύθυνου προστασίας δεδομένων. ΚΕΦΑΛΑΙΟ V ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΣΕ ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ Το άρθρο 47 βασίζεται και αναπτύσσει περαιτέρω το άρθρο 9 του κανονισμού (ΕΚ) αριθ. 45/2001, προσδιορίζοντας με ακρίβεια τη γενική αρχή, σύμφωνα με το άρθρο 44 του κανονισμού (ΕΕ) 2016/679, ότι η συμμόρφωση με τις λοιπές διατάξεις του παρόντος κανονισμού και με τις προϋποθέσεις που θεσπίζονται στο κεφάλαιο V είναι υποχρεωτική για κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Το άρθρο 48 ορίζει ότι διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει, σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό, και εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα αποβλέπει αποκλειστικά στο να διευκολύνει την εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του υπεύθυνου της επεξεργασίας. Το άρθρο 48 αναπαράγει τις παραγράφους 2 και 3 του άρθρου 9 του κανονισμού (ΕΚ) αριθ. 45/2001, καθώς συνιστούν χρήσιμα στοιχεία για την παρακολούθηση του επιπέδου προστασίας σε τρίτες χώρες και διεθνείς οργανισμούς. Το άρθρο 49 βασίζεται στο άρθρο 46 του κανονισμού (ΕΕ) 2016/679 και απαιτεί για τις διαβιβάσεις προς τρίτες χώρες, εφόσον δεν έχει ληφθεί απόφαση περί επάρκειας από την Επιτροπή, την προσθήκη κατάλληλων εγγυήσεων, και ιδίως τυποποιημένων ρητρών προστασίας των δεδομένων και συμβατικών ρητρών. Δεσμευτικοί εταιρικοί κανόνες, κώδικες δεοντολογίας και μηχανισμοί πιστοποίησης μπορούν ενδεχομένως να χρησιμοποιηθούν, σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, από εκτελούντες επεξεργασία άλλους, εκτός των οργάνων και οργανισμών της Ένωσης. Η τέταρτη παράγραφος του εν λόγω άρθρου σχετικά με την υποχρέωση των οργάνων και οργανισμών της Ένωσης να γνωστοποιούν στον ΕΕΠΔ τις κατηγορίες περιπτώσεων στις οποίες εφάρμοσαν το εν λόγω άρθρο αντιστοιχεί στο άρθρο 9 παράγραφος 8 του κανονισμού (ΕΚ) αριθ. 45/2001 και διατηρήθηκε λόγω της ειδικότητάς της. Η πέμπτη παράγραφος αφορά τη διατήρηση των υφιστάμενων αδειών που προβλέπονται στο άρθρο 46 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679. Το άρθρο 50 διευκρινίζει, σύμφωνα με το άρθρο 48 του κανονισμού (ΕΕ) 2016/679, ότι οι αποφάσεις δικαστηρίων ή οι αποφάσεις διοικητικών αρχών τρίτων χωρών που απαιτούν EL 14 EL

16 διαβίβαση ή κοινοποίηση δεδομένων προσωπικού χαρακτήρα μπορούν να αναγνωριστούν ή να είναι εκτελεστές κατ οποιονδήποτε τρόπο μόνο εάν βασίζονται σε διεθνή συμφωνία, όπως σε σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο. Το άρθρο 51 βασίζεται στο άρθρο 49 του κανονισμού (ΕΕ) 2016/679 και προσδιορίζει και αποσαφηνίζει τις παρεκκλίσεις όσον αφορά τη διαβίβαση δεδομένων. Αυτό ισχύει ιδίως για τις αιτηθείσες διαβιβάσεις δεδομένων που είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών ή μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή για τη διαχείριση της αλιείας. Η πέμπτη παράγραφος σχετικά με την υποχρέωση γνωστοποίησης στον ΕΕΠΔ των κατηγοριών περιπτώσεων στις οποίες εφάρμοσαν παρεκκλίσεις για τη διαβίβαση δεδομένων αντιστοιχεί στο ισχύον άρθρο 9 παράγραφος 8 του κανονισμού (ΕΚ) αριθ. 45/2001. Το άρθρο 52 βασίζεται στο άρθρο 50 του κανονισμού (ΕΕ) 2016/679 και προβλέπει ρητά μηχανισμούς διεθνούς συνεργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα μεταξύ του ΕΕΠΔ, σε συνεργασία με την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, και των εποπτικών αρχών τρίτων χωρών. ΚΕΦΑΛΑΙΟ VI - Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Το άρθρο 53 βασίζεται στο άρθρο 41 του κανονισμού (ΕΚ) αριθ. 45/2001 και αφορά τη σύσταση του ΕΕΠΔ. Το άρθρο 54 βασίζεται στο άρθρο 42 του κανονισμού (ΕΚ) αριθ. 45/2001 και στο άρθρο 3 της απόφασης 1247/2002/ΕΚ, και θεσπίζει τους κανόνες που διέπουν τον διορισμό του ΕΕΠΔ από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Καθορίζει επίσης τη διάρκεια της θητείας του: πέντε έτη. Το άρθρο 55 βασίζεται στο άρθρο 43 του κανονισμού (ΕΚ) αριθ. 45/2001 και στο άρθρο 1 της απόφασης 1247/2002/ΕΚ, και προβλέπει το καθεστώς και τους γενικούς όρους που διέπουν την άσκηση των καθηκόντων του ΕΕΠΔ και του προσωπικού του, καθώς και τους οικονομικούς πόρους. Το άρθρο 56 βασίζεται στο άρθρο 52 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 44 του κανονισμού (ΕΚ) αριθ. 45/2001, και αποσαφηνίζει τους όρους της ανεξαρτησίας του ΕΕΠΔ, λαμβανομένης υπόψη της νομολογίας του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Το άρθρο 57 ορίζει, με βάση το άρθρο 45 του κανονισμού (ΕΚ) αριθ. 45/2001, τα καθήκοντα του ΕΕΠΔ τήρησης του απορρήτου, τόσο κατά τη διάρκεια της θητείας του όσο και μετά τη λήξη της, όσον αφορά οποιεσδήποτε εμπιστευτικές πληροφορίες που έχουν περιέλθει σε γνώση του κατά την εκτέλεση των καθηκόντων του. Το άρθρο 58 βασίζεται στο άρθρο 57 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 46 του κανονισμού (ΕΚ) αριθ. 45/2001, και ορίζει τα καθήκοντα του ΕΕΠΔ, περιλαμβανομένων της ακρόασης και της εξέτασης καταγγελιών και της προώθησης της ευαισθητοποίησης του κοινού για τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα. Το άρθρο 59 βασίζεται στο άρθρο 58 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 47 του κανονισμού (ΕΚ) αριθ. 45/2001, και καθορίζει τις εξουσίες του ΕΕΠΔ. EL 15 EL

17 Το άρθρο 60 βασίζεται στο άρθρο 59 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 48 του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει υποχρέωση του ΕΕΠΔ να καταρτίζει ετήσια έκθεση δραστηριοτήτων. ΚΕΦΑΛΑΙΟ VII ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ Το άρθρο 61 βασίζεται στο άρθρο 61 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 46 στοιχείο στ) του κανονισμού (ΕΚ) αριθ. 45/2001, και θεσπίζει ρητούς κανόνες για τη συνεργασία του ΕΕΠΔ με τις εθνικές εποπτικές αρχές. Το άρθρο 62 προβλέπει τις υποχρεώσεις του ΕΕΠΔ όταν άλλες ενωσιακές πράξεις παραπέμπουν στο εν λόγω άρθρο στο πλαίσιο της συντονισμένης εποπτείας με τις εθνικές εποπτικές αρχές. Επιδιώκει δε να εφαρμόσει ένα ενιαίο πρότυπο συντονισμένης εποπτείας, το οποίο θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για τη συντονισμένη εποπτεία συστημάτων ΤΠ μεγάλης κλίμακας, όπως το Eurodac, το Σύστημα Πληροφοριών Schengen II, το Σύστημα Πληροφοριών για τις Θεωρήσεις, το Τελωνειακό Σύστημα Πληροφοριών ή το Σύστημα Πληροφόρησης για την Εσωτερική Αγορά, αλλά επίσης και για την εποπτεία ορισμένων οργανισμών της Ένωσης στους οποίους εφαρμόζεται ειδικό πρότυπο συνεργασίας μεταξύ του ΕΕΠΔ και των εθνικών αρχών, όπως στην Ευρωπόλ. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να λειτουργήσει ως ενιαίο φόρουμ για τη διασφάλιση της αποτελεσματικότητας της συντονισμένης εποπτείας γενικότερα. ΚΕΦΑΛΑΙΟ VIII ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ Το άρθρο 63 βασίζεται στο άρθρο 77 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 32 του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει το δικαίωμα κάθε υποκειμένου δεδομένων να υποβάλει καταγγελία στον ΕΕΠΔ. Θεσπίζει ακόμη υποχρέωση του ΕΕΠΔ να χειρίζεται τις καταγγελίες και να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός προθεσμίας τριών μηνών, μετά την άπρακτη πάροδο της οποίας η καταγγελία θα θεωρείται ως απορριφθείσα. Το άρθρο 64 διατηρεί το άρθρο 32 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 45/2001, προβλέποντας αρμοδιότητα του Δικαστηρίου της Ευρωπαϊκής Ένωσης να εκδικάζει κάθε διαφορά που σχετίζεται με τις διατάξεις του παρόντος κανονισμού, συμπεριλαμβανομένων των αιτήσεων αποζημίωσης. Το άρθρο 65 καθορίζει το δικαίωμα αποζημίωσης, τόσο για υλική όσο και μη υλική ζημία, με την επιφύλαξη των προϋποθέσεων, συμπεριλαμβανομένων αυτών της ευθύνης, που προβλέπονται στις Συνθήκες. Το άρθρο 66 βασίζεται στο άρθρο 83 του κανονισμού (ΕΕ) 2016/679 και παρέχει στον ΕΕΠΔ την εξουσία να επιβάλλει διοικητικά πρόστιμα στα όργανα και τους οργανισμούς της Ένωσης, ως κύρωση έσχατης ανάγκης και μόνο όταν τα όργανα και οι οργανισμοί της Ένωσης δεν συμμορφώθηκαν με εντολή του ΕΕΠΔ προβλεπόμενη στο άρθρο 59 παράγραφος 2 στοιχεία α) ως η) και στοιχείο ι). Το εν λόγω άρθρο καθορίζει επίσης τα κριτήρια προσδιορισμού του ύψους του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, ενώ ο καθορισμός των ανώτατων ετήσιων ορίων έχει βασιστεί στο ύψος των προστίμων που επιβάλλονται σε ορισμένα κράτη μέλη. EL 16 EL

18 Το άρθρο 67 επιτρέπει, σύμφωνα με το άρθρο 80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, σε ορισμένους φορείς, οργανώσεις ή ενώσεις να υποβάλουν καταγγελία για λογαριασμό του υποκειμένου των δεδομένων. Το άρθρο 68 προβλέπει, σύμφωνα με το άρθρο 33 του κανονισμού (ΕΚ) αριθ. 45/2001, ειδικούς κανόνες για την προστασία του προσωπικού της Ένωσης, το οποίο δύναται να υποβάλει καταγγελία στον ΕΕΠΔ επικαλούμενο παράβαση των διατάξεων του παρόντος κανονισμού, χωρίς να ακολουθηθεί η επίσημη οδός. Το άρθρο 69 βασίζεται στο άρθρο 49 του κανονισμού (ΕΚ) αριθ. 45/2001 και προβλέπει κυρώσεις για κάθε παράλειψη συμμόρφωσης προς τις υποχρεώσεις τις οποίες υπέχει υπάλληλος ή άλλο μέλος του προσωπικού της Ευρωπαϊκής Ένωσης δυνάμει του παρόντος κανονισμού. ΚΕΦΑΛΑΙΟ IX ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ Το άρθρο 70 περιέχει τη διάταξη για τη διαδικασία επιτροπής που απαιτείται για την ανάθεση εκτελεστικών εξουσιών στην Επιτροπή στις περιπτώσεις στις οποίες, σύμφωνα με το άρθρο 291 ΣΛΕΕ, απαιτούνται ενιαίες προϋποθέσεις για την εκτέλεση των νομικά δεσμευτικών πράξεων της Ένωσης. Εφαρμόζεται η διαδικασία εξέτασης. ΚΕΦΑΛΑΙΟ X ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Το άρθρο 71 καταργεί τον κανονισμό (ΕΚ) αριθ. 45/2001 και την απόφαση αριθ. 1247/2002/ΕΚ, και ορίζει ότι οι παραπομπές στις δύο καταργηθείσες πράξεις νοούνται ως παραπομπές στον παρόντα κανονισμό. Το άρθρο 72 διευκρινίζει ότι οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν επηρεάζονται από τον παρόντα κανονισμό, και ότι το άρθρο 54 παράγραφοι 4, 5 και 7, και τα άρθρα 56 και 57 του κανονισμού εφαρμόζονται στον νυν αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του, ήτοι ως τις 5 Δεκεμβρίου Το άρθρο 73 ορίζει ως ημερομηνία έναρξης της εφαρμογής του παρόντος κανονισμού την 25η Μαΐου 2018, με γνώμονα τη διασφάλιση συνεκτικότητας με την ημερομηνία έναρξης της εφαρμογής του κανονισμού (ΕΕ) 2016/679. EL 17 EL

19 2017/0002 (COD) Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 παράγραφος 2, Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής, Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια, Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής 10, Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία, Εκτιμώντας τα ακόλουθα: (1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (ο «Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. (2) Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 11 παρέχει νομικά εκτελεστά δικαιώματα στα φυσικά πρόσωπα, καθορίζει τις υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων εντός των οργάνων και οργανισμών της Ένωσης, και συστήνει ανεξάρτητη εποπτική αρχή, τον Ευρωπαίο ΕΕ C της, σ.. Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της , σ. 1). EL 18 EL